Udostępnij za pośrednictwem

Utwórz regułę do wysyłania członkostwa w grupie jako roszczenia

Korzystając z szablonu reguły Wysyłanie członkostwa w grupie jako oświadczenia w usługach Active Directory Federation Services (AD FS), można utworzyć regułę, która umożliwi wybranie grupy zabezpieczeń usługi Active Directory do wysłania jako oświadczenia. Tylko jedno twierdzenie zostanie wygenerowane przez tę regułę w oparciu o wybraną grupę. Na przykład możesz użyć tego szablonu reguły, aby utworzyć regułę, która wyśle oświadczenie grupy z wartością Administrator, jeśli użytkownik jest członkiem grupy zabezpieczeń Administratorzy domeny. Ta reguła powinna być używana tylko dla użytkowników w lokalnej domenie usługi Active Directory.

Można użyć następującej procedury, aby utworzyć regułę roszczenia za pomocą przystawki Zarządzenie AD FS.

Członkostwo w grupie Administratorzy, lub równoważnej na komputerze lokalnym jest minimalnym wymaganiem do wykonania tej procedury. Przejrzyj szczegóły dotyczące stosowania odpowiednich kont i członkostw w Lokalnych i Domanowych Grupach Domyślnych.

Aby utworzyć regułę wysyłania członkostwa w grupie jako oświadczenia w relacji zaufania jednostki uzależnionej w systemie Windows Server 2016

  1. W Menedżerze serwera kliknij Narzędzia, a następnie wybierz Zarządzanie AD FS.

  2. W drzewie konsoli w obszarze USŁUGI AD FS, kliknij pozycję Zaufane relacje zewnętrzne. Zrzut ekranu przedstawiający miejsce wyboru Relacji Zaufania Strony Polegającej podczas tworzenia reguły do wysyłania członkostwa w grupie jako oświadczenia w Relacji Zaufania Strony Polegającej w systemie Windows Server 2016.

  3. Kliknij prawym przyciskiem myszy wybrane zaufanie, a następnie kliknij polecenie Edytuj zasady wystawiania oświadczeń. Zrzut ekranu pokazujący, gdzie wybrać pozycję Edytuj zasady wystawiania oświadczeń podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia w relacji zaufania jednostki uzależnionej w systemie Windows Server 2016.

  4. W oknie dialogowym Edytowanie zasad wystawiania oświadczeń w obszarze Reguły transformacji wystawiania kliknij Dodaj regułę, aby uruchomić kreatora reguł. Zrzut ekranu przedstawiający sposób wybierania pozycji Dodaj regułę podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia zaufania jednostki uzależnionej w systemie Windows Server 2016.

  5. Na stronie Wybieranie szablonu reguły w obszarze Szablon reguły oświadczenia wybierz pozycję Wyślij członkostwo grupy jako oświadczenie z listy, a następnie kliknij przycisk Dalej. Zrzut ekranu pokazujący, jak wybrać szablon Wyślij członkostwo w grupie jako oświadczenie, tworząc regułę dla członkostwa w grupie jako oświadczenie w relacji zaufania z zaufaną stroną w Windows Server 2016.

  6. Na stronie Konfigurowanie reguły w obszarze Nazwa reguły oświadczenia wpisz nazwę wyświetlaną dla tej reguły, w grupie Użytkownik kliknij przycisk Przeglądaj i wybierz grupę w obszarze Typ oświadczenia wychodzącego wybierz żądany typ oświadczenia, a następnie w obszarze Typ oświadczenia wychodzącego wpisz wartość. Zrzut ekranu przedstawiający miejsce wpisywania nazwy reguły oświadczenia podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia zaufania jednostki uzależnionej w systemie Windows Server 2016.

  7. Kliknij przycisk Zakończ .

  8. W oknie dialogowym Edytowanie reguł oświadczeń kliknij OK, aby zapisać regułę.

Aby utworzyć regułę wysyłania członkostwa w grupie jako oświadczenia w relacji zaufania dostawcy oświadczeń w systemie Windows Server 2016

  1. W Menedżerze serwera kliknij Narzędzia, a następnie wybierz Zarządzanie AD FS.

  2. W drzewie konsoli w obszarze AD FS, kliknij pozycję Zaufane podmioty dostarczające oświadczenia. Zrzut ekranu, który pokazuje, gdzie wybrać Relacje Zaufania Dostawcy Oświadczeń podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia na Relacji Zaufania Dostawcy Oświadczeń w systemie Windows Server 2016.

  3. Kliknij prawym przyciskiem myszy wybrane zaufanie, a następnie wybierz polecenie Edytuj reguły oświadczeń. Zrzut ekranu przedstawiający sposób wybierania pozycji Edytuj reguły oświadczeń podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia w relacji zaufania dostawcy oświadczeń w systemie Windows Server 2016.

  4. W oknie dialogowym Edytowanie reguł oświadczeń, w obszarze Reguły przekształcania akceptacji, kliknij Dodaj regułę, aby uruchomić kreatora reguł. Zrzut ekranu pokazujący, gdzie wybrać opcję Dodaj regułę podczas tworzenia reguły, która wysyła członkostwo w grupie jako oświadczenie w ramach Zaufania Dostawcy Oświadczeń w systemie Windows Server 2016.

  5. Na stronie Wybierz szablon reguły pod Szablon reguły oświadczenia wybierz pozycję Wyślij członkostwo grupy jako oświadczenie z listy, a następnie kliknij przycisk Dalej. Zrzut ekranu pokazujący, gdzie wybrać szablon Wyślij członkostwo w grupie jako oświadczenie podczas tworzenia reguły na Zaufanej stronie dostawcy oświadczeń w systemie Windows Server 2016.

  6. Na stronie Konfigurowanie reguły w obszarze Nazwa reguły oświadczenia wpisz nazwę wyświetlaną dla tej reguły, w grupie Użytkownik kliknij przycisk Przeglądaj i wybierz grupę w obszarze Typ oświadczenia wychodzącego wybierz żądany typ oświadczenia, a następnie w obszarze Typ oświadczenia wychodzącego wpisz wartość. Zrzut ekranu przedstawiający miejsce wpisywania nazwy reguły roszczenia podczas tworzenia reguły, aby wysłać członkostwo w grupie jako roszczenie w powierzeniu dostawcy roszczeń w systemie Windows Server 2016.

  7. Kliknij przycisk Zakończ .

  8. W oknie dialogowym Edytowanie reguł oświadczeń kliknij OK, aby zapisać regułę.

Aby utworzyć regułę wysyłania członkostwa w grupie jako oświadczenia w systemie Windows Server 2012 R2

  1. W Menedżerze serwera kliknij Narzędzia, a następnie wybierz Zarządzanie AD FS.

  2. W drzewie konsoli, w obszarze USŁUGI AD FS\Relacje zaufania, kliknij pozycję Zaufania dostawcy oświadczeń lub Relacje zaufania z jednostkami zależnymi, a następnie kliknij określone zaufanie na liście, gdzie chcesz utworzyć tę regułę.

  3. Kliknij prawym przyciskiem myszy wybrane zaufanie, a następnie wybierz polecenie Edytuj reguły oświadczeń. Zrzut ekranu pokazujący, gdzie należy wybrać opcję Edytuj reguły oświadczeń podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia w systemie Windows Server 2012 R2.

  4. W oknie dialogowym Edytowanie reguł oświadczeń wybierz jedną z następujących kart w zależności od edytowanego zaufania i zestawu reguł, w którym chcesz utworzyć tę regułę, a następnie kliknij przycisk Dodaj regułę, aby uruchomić kreatora reguł skojarzonych z tym zestawem reguł:

    • Reguły transformacji akceptacji

    • Reguły przekształcenia wydań

    • Reguły uwierzytelnienia wydania

    • Zasady autoryzacji delegowaniautwórz regułę

  5. Na stronie Wybierz szablon reguły w obszarze Szablon reguły oświadczenia, wybierz Wyślij członkostwo grupy jako oświadczenie z listy, a następnie kliknij Dalej. Zrzut ekranu pokazujący, gdzie wybrać szablon Wyślij członkostwo w grupie jako oświadczenie podczas tworzenia reguły wysyłania członkostwa w grupie jako oświadczenia w systemie Windows Server 2012 R2.

  6. Na stronie Konfigurowanie reguły w obszarze Nazwa reguły oświadczenia wpisz nazwę wyświetlaną dla tej reguły, w grupie Użytkownik kliknij przycisk Przeglądaj i wybierz grupę w obszarze Typ oświadczenia wychodzącego wybierz żądany typ oświadczenia, a następnie w obszarze Typ oświadczenia wychodzącego wpisz wartość. Zrzut ekranu pokazujący miejsce wpisywania nazwy reguły roszczenia podczas tworzenia reguły, która wysyła członkostwo w grupie jako roszczenie w systemie Windows Server 2012 R2.

  7. Kliknij przycisk Finish (Zakończ).

  8. W oknie dialogowym Edytowanie reguł oświadczeń kliknij OK, aby zapisać regułę.

Dodatkowe źródła

konfigurowanie reguł roszczeń

Lista kontrolna: tworzenie reguł oświadczeń dla relacji zaufania z jednostką ufającą

Lista kontrolna: tworzenie reguł roszczeń dla zaufania dostawcy roszczeń

Kiedy należy użyć zasady roszczenia autoryzacji

Rola oświadczeń

Rola reguł oświadczeń